APIレート制限
APIエンドポイントの調整制限は、(本番およびプレビューテナントの)Oktaサービスを、(意図しない、またはサービス拒否攻撃として)送信されたリクエストによるロードスパイクまたはサービスの中断から保護します。この戦略は、顧客に対して一貫したサービスレベルを維持するために、多くのSaaSアプリケーションおよびプラットフォームで業界全体に採用されています。レート制限に達したリクエストは、429 Too Many Requests HTTPステータスコードを返します。
公開アプリケーションは、不正使用を防ぐため積極的にレート制限されており、ユーザーに関するメタデータをリリースする前にプライマリ認証が正常に完了している必要があります。詳細については、「Okta認証API」を参照してください。各APIレスポンスの制限を報告するヘッダーの操作を含む、デフォルトのOkta APIレート制限の詳細については、「レート制限」を参照してください。
エンドポイント別のその他のデフォルトレート制限を次の表に示します。エンドポイントがこのリストにないときは、 Admin Consoleので確認できます。「APIテーブル」を参照してください。Oktaは、サービスを維持するプロセスで予告なく制限を増減する場合があります。
|
レート制限されるURI |
1分あたりのリクエスト数 |
|---|---|
|
/app/{アプリ}/{キー}/sso/saml |
750 |
|
/app/office365/{key}/sso/wsfed/active |
2,000 |
|
/app/office365/{key}/sso/wsfed/passive |
250 |
|
/app/template_saml_2_0/{key}/sso/saml |
2,500 |
|
/login/do-login |
200 |
|
/login/login.htm |
850 |
|
/login/sso_iwa_auth |
500 |
| /login/agentlessDSSO | 1000 |
| /api/plugin/{プロトコルのバージョン}/form-cred/{アプリのユーザーID}/{フォームサイトオプション} | 650 |
| /api/plugin/{プロトコルのバージョン}/sites | 150 |
| /bc/fileStoreRecord | 500 |
| /bc/globalFileStoreRecord | 500 |
同時レート制限
すべての顧客のサービスを保護するために、Oktaでは同時レート制限を適用しています。この制限は、org全体の1分あたりのAPIレート制限とは異なります。
同時レート制限の場合、トラフィックはエージェントトラフィック、Microsoft Office 365トラフィック、APIリクエストを含むその他すべてのトラフィックの3つの異なる領域で測定されます。1つの領域の測定値は、その他2つの領域の測定値には含まれません。
- エージェントのトラフィックについては、Oktaは各orgのトラフィックを測定し、過去4週間で最も高い使用率より高く制限を設定しました。
- Microsoft Office 365トラフィックの場合、orgあたりの同時トランザクション数の制限は75です。
- APIリクエストを含むほかのすべてのトラフィックの場合、orgあたりの同時トランザクション数は75に制限されます。
同時制限を超える最初のリクエストではHTTP 429エラーが返され、60秒ごとの最初のエラーがログに書き込まれます。同時レート制限を1分に1回レポートすることで、ログのボリュームを管理しやすいレベルに抑えることができます。
デフォルトのレート制限
APIエンドポイントの調整制限は、Oktaサービス(本番およびプレビューテナント)を保護するために作成されました。調整制限は、サービスを、(意図しない、またはサービス拒否攻撃として)送信されたリクエストによるロードスパイクまたはサービスの中断から保護します。この戦略は、顧客に対して一貫したサービスレベルを維持するために、多くのSaaSアプリおよびプラットフォームで業界全体に採用されています。レート制限に達したリクエストは、429 Too Many Requests HTTPステータスコードを返します。
公開アプリケーションは、不正使用を防ぐため積極的にレート制限されており、ユーザーに関するメタデータをリリースする前にプライマリ認証が正常に完了している必要があります。
エンドユーザーのレート制限
Oktaでは、Oktaユーザーインターフェイスからのリクエスト数を、エンドポイントあたり10秒ごとに1ユーザー40リクエストに制限しています。このレート制限は、ユーザーを相互に保護し、またシステム内のその他のAPIリクエストからユーザーを保護します。
ユーザーがこの制限を超えることができる場合、レート制限が解除されるまでロックアウトされます。メッセージがユーザーインターフェイスとSystem Logに書き込まれます。
トークン別のAPIレート制限
Admin Consoleで作成されるOkta APIトークン()は、デフォルトではAPIエンドポイントのレート制限の50パーセントに構成されます。この構成により、複数のAPIトークンが存在するorgで1つのAPIトークンがエンドポイントのレート制限を超過する違反を避けることができます。APIトークンのデフォルトの容量値は、 Admin Consoleで変更できます。「トークンのレート制限を設定する」を参照してください。
各APIのレート制限をAPI全体で下げることで、あるAPIトークンがエンドポイントのレートを消費しつくすことを防止できます。また、レート制限違反の調査に役立ち、将来の違反を防止できます。
バーストレート制限
バーストレート制限は、エンドポイントの制限を上回る追加のリクエストをorgに提供します。このバースト制限は、計画外のトラフィックに基づくエンドユーザーの一時停止を防止します。「バーストレート制限」を参照してください。
レート制限の引き上げリクエスト
Workforce Identity CloudおよびCustomer Identity Solutionのお客様は、サポートケースを開始することで、レート制限の引き上げをリクエストすることができます。リクエストが提出されたら、Oktaのサポートチームは各リクエストを入念に審査し、リクエストを承認または拒否します。レート制限の引き上げが必要となる少なくとも15営業日前までにリクエストを提出する必要があります。リクエストの中には、審査に時間がかかるものもあります。Oktaでは、できるだけ早めにリクエストを提出することを推奨しています。
各リクエストは個別に評価されます。以前のリクエストが承認されたからといって、今後の承認が保証されているわけではありません。Oktaは、各リクエストがシステムパフォーマンスおよび利用可能な容量に与える影響を、提出時に評価します。
ユーザー、グループ、またはアプリの作成や変更などの管理作業に伴うエンドポイントのレート制限引き上げをOktaが承認する可能性は低いです。これは複雑さが増すことが関係しているためです。
Dynamic ScaleまたはWorkforce Multipliersでカバーされているエンドポイントのリクエストを行った場合、Oktaはそのリクエストを拒否し、Dynamic Scaleの購入またはWorkforce Multipliersの増加について、アカウントチームと相談するよう求める場合があります。通常、これは以下の状況のいずれかが発生した場合に起こります。
-
1暦年の間に複数回、一時的なレート制限の引き上げをリクエストした。
-
デフォルトのレート制限の5倍以上のレート制限の引き上げをリクエストした。
-
恒久的なレート制限の引き上げをリクエストした。
それ以外の場合は、以下の情報を記入してください。正確な情報が提供されない場合、リクエストの遅延や拒否につながる可能性があります。
Organization情報:
-
org名
-
Org URL
リクエストの詳細:
-
開始時刻
-
終了時刻(恒久的なリクエストの場合は、値を[Permanent(恒久的)]に設定します)
-
ビジネス上の正当性
-
正確なAPIのURI
-
操作:読み取りまたは書き込み
-
目標のレート制限
-
目標のレート制限の根拠
-
追加の情報(該当する場合)
-
レート制限引き上げリクエストの正当な理由となる追加の背景や証拠
-
例:認証フロー、プロセスフロー、リクエストの量、パフォーマンステストの結果など
-
Oktaは、サービスを維持するプロセスにおいて、予告なしに制限を増減する場合があります。Oktaは、悪用、スパム、サービス拒否攻撃、またはその他のセキュリティ上の問題を防ぐために、その他の機能をレート制限する権利を留保します。